Media

Facebook zamknął złośliwe oprogramowanie, które przejęło konta, aby wyświetlać reklamy

Zwykle kiedy ty usłyszeć o złośliwej aktywności na Facebooku, jest ona uwikłana w jakiś geopolityczny skuldugger. Ale w czwartek firma szczegółowo opisała kampanię z Chin, która nie była skoncentrowana na dezinformacji ani kradzieży danych dotyczących kont. Zamiast tego hakerzy ukradli dane uwierzytelniające użytkowników i uzyskali dostęp do ich kont w innym celu: kupowaniu pigułek odchudzających, produktów do zdrowia seksualnego oraz fałszywych markowych torebek, butów i okularów przeciwsłonecznych.

Po wejściu na zainfekowane konto użytkownika Facebooka osoby atakujące użyłyby powiązanej metody płatności, aby kupić złośliwe reklamy, ostatecznie wysysając 4 miliony dolarów z ofiar podczas szaleństwa. Facebook po raz pierwszy wykrył ataki pod koniec 2018 roku, a po szeroko zakrojonym dochodzeniu firma złożyła pozew cywilny przeciwko firmie ILikeAd Media International Company Ltd. i dwóm obywatelom Chin, którzy rzekomo opracowali złośliwe oprogramowanie i przeprowadzili ataki. Dzisiaj na cyfrowej konferencji poświęconej bezpieczeństwu Virus Bulletin badacze z Facebooka przedstawili szczegółowy obraz tego, jak faktycznie działa szkodliwe oprogramowanie o nazwie SilentFade, a także niektóre z jego nowatorskich metod, w tym aktywne blokowanie powiadomień użytkownika, aby ofiara nie wiedziała, że ​​coś jest nie tak .

„Po raz pierwszy odkryliśmy SilentFade w grudniu 2018 r., Kiedy podejrzany wzrost ruchu w wielu punktach końcowych Facebooka wskazywał na możliwy atak oparty na złośliwym oprogramowaniu na konto w celu oszustwa reklamowego” – powiedział Sanchit Karve, badacz złośliwego oprogramowania na Facebooku, podczas rozmowy z dziennikarzami przed swoim biuletynem wirusów prezentacja. „SilentFade kradnie dane logowania do Facebooka i pliki cookie z różnych sklepów z danymi uwierzytelniającymi przeglądarki. Konta, które miały dostęp do połączonej metody płatności, byłyby następnie wykorzystywane do wyświetlania reklam na Facebooku”.

Atakujący nie mogli uzyskać dostępu do rzeczywistych numerów kart kredytowych ani szczegółów konta płatniczego z Facebooka, ale gdy znaleźli się na koncie, mogli użyć dowolnej metody płatności, jaką Facebook miał w pliku, aby kupować reklamy. Facebook później zwrócił nieokreślonej liczbie użytkowników 4 miliony dolarów fałszywych opłat reklamowych.

SilentFade był często rozprowadzany poprzez dołączanie go do pirackich kopii markowego oprogramowania; Gdy ofiara pobierze żądany program, jej urządzenie również zostanie zainfekowane SilentFade. Stamtąd złośliwe oprogramowanie szukało specjalnych plików cookie Facebooka w Chrome, Firefox i innych popularnych przeglądarkach. Te pliki cookie były cenne dla atakujących, ponieważ zawierają „tokeny sesji”, które są generowane po zalogowaniu się użytkownika przy użyciu nazwy użytkownika, hasła i wszelkich wymaganych danych wejściowych uwierzytelniania dwuskładnikowego. Jeśli możesz pobrać token sesji, uzyskasz łatwy sposób na wejście na czyjeś konto na Facebooku bez potrzeby niczego innego. Gdyby złośliwe oprogramowanie nie mogło znaleźć właściwych plików cookie, bezpośrednio zbierałoby dane logowania użytkownika do Facebooka, ale nadal musiałoby je odszyfrować.

Atakujący ustawiliby nawet swoje systemy tak, aby wydawały się znajdować się w tym samym ogólnym regionie, w którym znajdowała się ofiara, kiedy generowali swój token sesji. W ten sposób Facebook pomyślałby, że aktywność była po prostu zwykłym logowaniem użytkownika w ciągu dnia, a nie podejrzaną aktywnością z innego regionu.

SilentFade miał też inne podstępne taktyki. Proaktywnie wyłączył powiadomienia Facebooka na koncie ofiary, aby nie otrzymywać ostrzeżeń o nowym logowaniu ani otrzymywać alertów lub wiadomości o kampaniach reklamowych prowadzonych z ich kont. Wykorzystał nawet lukę w mechanizmach walidacji Facebooka, aby uniemożliwić użytkownikom ponowne włączenie powiadomień „Alerty logowania” i „Strony biznesowe Facebooka”. Facebook twierdzi, że szybko udało się załatać błąd i zatrzymać tę nowatorską metodę trwałości.

Oprócz tych wszystkich sztuczek osoby atakujące wykorzystywały również techniki maskowania po stronie sieci reklamowej, aby zamaskować prawdziwą treść swoich reklam, przesyłając do sprawdzenia inne materiały i strony źródłowe, niż te, które później umieścili w wyświetlanych ch.

ekran telefonu z wiadomościami i tekstem wyskakującym na dole telefonu.

Oto złośliwe oprogramowanie, o które naprawdę powinieneś się martwić

„Używali różnych mechanizmów maskujących i przekierowań ruchu, aby ukryć swoje ślady” – powiedział Rob Leathern, dyrektor ds. Zarządzania produktami na Facebooku. „Te techniki maskowania służą do kamuflowania witryny będącej stroną docelową, która ma być prawdziwa, poprzez dynamiczną zmianę ich w trakcie i po zakończeniu procesu sprawdzania reklamy, dzięki czemu wyświetlają one użytkownikom inne witryny niż w przypadku naszego procesu. W treści reklam często pojawiały się gwiazdy jako taktyka mająca na celu zwrócenie uwagi. Wewnętrznie jest to coś, co nazywamy „przynętą na gwiazdy” i jest to problem, który nęka branżę reklamową online od ponad dekady ”.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook